近期的一个安全研究小组针对著名的社交网站facebook做了一项安全试验，试验的内容是通过facebook开放接口的条件，设计一个第三方插件。而通过这个第三方插件的传播，控制受害人的电脑进行攻击或者进行其他操作。

　　一个研究小组已经开发了一个Facebook应用程序，他们称之为概念证明型（POC）的“FaceBot”。该程序能够轻易地将社交网络用户的机器变成傀儡机，并以此发动分布式拒绝服务攻击（DDoS），以及其他恶意攻击。

　　该概念证明型的facebot程序冒充成“每日一图”（Photo of the Day  是一个插件工具，在用户的Facebook的网页上每天展现一张来自国家地理杂志的不同照片。但除了提供了一张照片外，还提供了一个恶意软件）将受害人的机器变成傀儡网络中的一员。研究人员会在即将在台湾举行的信息安全会议上展示他们的研究结果。

　　FaceBot向世人表明，将日益流行的社交网络应用程序武器化是多么的简单，此外，人们既然可以分为Facebook撰写这样的应用程序，那么同样也可以为其他社交网站编写这样的恶意应用。安全专家已经警告说，OpenSocial等社交网络平台是社交网络中最薄弱的环节之一。据Facebot的研究人员称，目前有超过15000种Facebook应用程序供用户使用。

　　有趣的是，尽管研究人员并没有通过Facebook来邀请用户下载此程序，但仍在短短几天内就设法吸引约1000用户下载了facebot。他们只对研究小组成员宣布了该软件，并请他们转达给其他同事。显然，该软件是从那里蔓延到其他Facebook的用户的。

　　该应用程序的工作机制基本如下：当用户点击该应用程序时，它会显示一个国家地理图片，并在受害者不知情的情况下将其机器变成BOT，并且向其他受害者的机器发送600k字节的HTTP请求，并命令傀儡机攻击在研究者的实验室中的某些电脑。

　　“我们已经证明，位于社交网络中的应用程序可以迅速吸引大量用户，通常达到以百万计的用户，然后将这些用户被重定向到受害者主机以发动攻击”，研究者在他们的文献中写道，“我们的实验表明这些用户具有高度的分散性，通常会遍布全球。”

　　研究人员警告说，现实的危害可能比他们的实验所表明的更为严重，因为他们已经对其应用程序做了相应的设置，以对攻击流量进行限制，但“坏人”却没有这么心慈手软：“对手可以采用更高级的技术，并创建JavaScript片段不断向受害者的主机请求各种文档。这样会使攻击性显著提高”他们在研究论文中写道。

　　DDoS只是Facebook的应用程序可以进行的攻击中的一种而已，研究人员说，其他可能的攻击包括主机扫描、恶意软件传播，和挫败基于Cookie的身份验证等等。此外，这种恶意程序还可以对Facebook的成员发动有针对性的攻击，搜集安装该应用程序的用户的个人信息，研究人员写道。